嘿，我来给你明确这个问题——iptables里的MASQUERADE规则实现的是对称型NAT，也就是具备「端点依赖映射」和「端点依赖过滤」的行为。

我自己在Linux主机上搭过这样的NAT环境，配置步骤是这样的：

sysctl net.ipv4.ip_forward=1
iptables -A FORWARD -i enp7s0 -o enp1s0 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate related,established -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o enp1s0 -j MASQUERADE

（说明一下：enp7s0是内网LAN接口，10.1.1.0/24是内网子网段，enp1s0是外网WAN接口）

之后我在内网另一台机器上用STUN工具做了NAT行为测试，执行的命令是：

$ turnutils_natdiscovery stunserver2024.stunprotocol.org -m

测试输出的开头部分是这样的：

-= Mapping Behavior Discovery =-

======================================...

备注：内容来源于stack exchange，提问作者Anton